Brak odpowiednio wykwalifikowanych kadr i wystarczających budżetów to największe bariery uniemożliwiające polskim firmom zapewnienie im cyfrowego bezpieczeństwa. Mimo to rodzime firmy wykazują wysoki optymizm względem oceny dojrzałości wdrożonych podczas pandemii zabezpieczeń. Według ekspertów KPMG może to wynikać z dość niskiej świadomości organizacji co do skali i złożoności współczesnych cyberzagrożeń.
Cyberprzestępcy podczas pandemii czują się jak ryby w wodzie – wykorzystują słabe zabezpieczenia osobistych komputerów pracowników zdalnych, korzystają z powszechności komunikowania się za pośrednictwem maili wyłudzając wrażliwe dane (phishing) oraz podsyłają złośliwe oprogramowania (malware). Jak podaje KPMG w swoim najnowszym raporcie pt. Barometr cyberbezpieczeństwa COVID‑19 przyspiesza cyfryzację firm – w 2020 roku już 64% polskich firm odnotowało przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa. Z tego względu, zdaniem Michała Kurka, szefa zespołu ds. cyberbezpieczeństwa w KPMG w Polsce, właściwie postawione pytanie brzmi nie czy, ale kiedy firma stanie się ofiarą cyberataku.
Jak podkreśla ekspert, mając na uwadze intensywność oraz pomysłowość cyberprzestępców, bezwzględnie wykorzystujących napięcia społeczne oraz podatności związane z przyspieszoną reorganizacją trybu pracy do konstrukcji skutecznych scenariuszy cyberataków – właściciele firm powinni zweryfikować skuteczność procedur reakcji na sytuacje kryzysowe oraz plany zapewnienia ciągłości działania, które w wielu organizacjach nie zawierały scenariuszy ryzyka niedostępności personelu.
Galopująca cyfryzacja w polskich przedsiębiorstwach
Negatywny wpływ pandemii COVID‑19 na bezpieczeństwo dostrzegają niemal wszystkie przedsiębiorstwa. Na wyższy poziom zagrożenia wskazują jednak właściciele mniejszych firm, zatrudniających do 250 pracowników, (60% wskazań) niż większych (50%). Ma to bezpośredni związek z pracą zdalną, która zwiększa podatność systemów informatycznych na cyberataki oraz faktem, że mniejsze przedsiębiorstwa organizacyjnie były gorzej przygotowane na kryzys.
Praca zdalna podczas pandemii została najczęściej zorganizowana w ten sposób, że zatrudnieni mogli wykorzystywać w swoich domach służbowe komputery z dostępem do firmowych zasobów za pośrednictwem VPN (Virtual Private Network). Jak wynika z analizy KPMG 3% firm zdecydowało się na wykorzystanie prywatnych komputerów pracowników i zdalnego dostępu do stacji roboczych w sieci firmy, natomiast 2% organizacji zadeklarowało korzystanie z technologii wirtualnego pulpitu. Warto podkreślić, że w przypadku 17% przebadanych przedsiębiorstw – w ogóle nie wdrożono tzw. home office.
Konieczność pracy zdalnej sprawiła, że w 58% organizacji pandemia pozytywnie wpłynęła na liczbę inicjatyw związanych z cyfryzacją. Podobny odsetek firm przyznaje jednak, że taki tryb pracy zwiększył podatność przedsiębiorstwa na cyberataki, a pandemia ujawniła potrzebę wprowadzenia usprawnień w obszarze zarządzania kryzysowego.
Badane firmy przyznają, że przejście na pracę zdalną miało również swoje plusy, m.in. pozytywnie wpłynęło na procesy związane z cyfryzacją organizacji. U 20% przedsiębiorstw znacząco zwiększyła się liczba związanych z tym inicjatyw, a u 38% organizacji wzrost liczby projektów związanych z cyfryzacją był umiarkowany. Z odpowiedzi ankietowanych wynika też, że więcej tego typu inicjatyw zanotowano w mniejszych firmach (65% wskazań), co potwierdza wcześniejszy wniosek, że były one gorzej przygotowane do przejścia na pracę zdalną, ale dzięki pandemii – nadrobiły w tym aspekcie „zaległości” względem większych firm.
Na straży bezpieczeństwa i dojrzałości cyfrowej
Zeszłoroczne zakłócenia sprawiły, że coraz więcej firm zauważa potrzebę powoływania stanowisk lub zespołów odpowiedzialnych za bezpieczeństwo informacji w organizacji. W blisko połowie (48% wskazań) przebadanych przedsiębiorstw odpowiedzialność ta spoczywa obecnie na dyrektorze IT (CIO) lub na wyznaczonym pracowniku w strukturach IT. W co piątym przedsiębiorstwie zajmują się tym również prezesi zarządu. Warto przy tym podkreślić, że dziś zdecydowanie mniej firm, niż w poprzednich edycjach badania KPMG, wskazało na potencjalne niebezpieczeństwo utraty danych w wyniku działania podkupionych lub niezadowolonych pracowników. Można zatem przypuszczać, że przypisywanie odpowiedzialności za bezpieczeństwo informacji pracownikom firmy, zniechęca innych zatrudnionych do podejmowania działań na szkodę pracodawcy.
Zdaniem przedsiębiorstw biorących udział w badaniu największe ryzyko stanowi wyciek danych za sprawą złośliwego oprogramowania, wyłudzenie danych uwierzytelniających oraz utrata danych w wyniku kradzieży, zgubienia nośników lub urządzeń mobilnych.
Firmy w Polsce wysoko oceniają swój poziom zabezpieczeń przed złośliwym oprogramowaniem oraz bezpieczeństwo łączy internetowych. Dużą dojrzałość osiągnęły także w kwestii zapewnienia ciągłości działania, reakcji na incydenty naruszenia bezpieczeństwa oraz zarządzania tożsamością i dostępem.
Badane firmy deklarują też, że największą dojrzałość zabezpieczeń osiągnęły na styku wewnętrznych systemów informatycznych z siecią internetową, w obszarze ochrony przed złośliwym oprogramowaniem oraz planów zapewnienia ciągłości działania. Zaledwie 1 na 10 firm uważa, że osiągnęła pełną dojrzałość zabezpieczeń we wszystkich analizowanych obszarach.
Na szczęście polscy przedsiębiorcy zdają sobie sprawę z tego, że walka z cyberprzestępcami nie ma końca i trzeba się do niej odpowiednio przygotować. Z tego względu priorytetowymi inwestycjami w zabezpieczenia, które planują w najbliższym czasie, są m.in. ochrona przed złośliwym oprogramowaniem, zapewnienie bezpieczeństwa sieci wewnętrznej oraz ochrona przed wyciekami danych.
Największe przeszkody w uzyskaniu bezpieczeństwa IT
Nie jest zaskoczeniem, że największym ograniczeniem w osiągnięciu odpowiedniego poziomu zabezpieczeń w firmach (50% wskazań) pozostają trudności związane z zatrudnieniem i utrzymaniem odpowiednio wykwalifikowanych kadr. Kolejna bariera, na którą wskazuje 42% polskich organizacji, jest brak wystarczających pieniędzy. Ten problem dotyczy głównie mniejszych firm. Z kolei problemy związane z zasobami ludzkimi są większym wyzwaniem dla dużych organizacji.
Największym ograniczeniem w zakresie uzyskania odpowiedniego poziomu zabezpieczeń dla połowy firm są trudności w zatrudnieniu oraz utrzymaniu wykwalifikowanych pracowników.
Należy również wspomnieć o niedostatkach wiedzy rodzimych przedsiębiorców na temat skali i złożoności współczesnych cyberzagrożeń. Jak zaznacza Michał Kurek polskie firmy wciąż nie dostrzegają m.in. istotnego ryzyka związanego z powszechnym korzystaniem z aplikacji.
Indeks górny Raport KPMG w Polsce pt. Barometr cyberbezpieczeństwa. COVID‑19 przyspiesza cyfryzację firm powstał na podstawie badania przeprowadzonego na próbie 100 organizacji w Polsce o przychodach powyżej 50 mln złotych. Jest czwartą edycją badania przeprowadzonego przez KPMG w Polsce, którego celem jest poznanie dynamiki i charakterystyki cyberataków oraz przygotowania na nie przez firmy w Polsce. Badanie zostało zrealizowane metodą wywiadów telefonicznych CATI wśród osób odpowiedzialnych za bezpieczeństwo IT w firmach (członków zarządu, dyrektorów ds. bezpieczeństwa, prezesów, dyrektorów IT lub innych osób odpowiedzialnych za ten obszar) na przełomie stycznia i lutego 2021 roku przez firmę Norstat Polska. Indeks górny koniec Raport KPMG w Polsce pt. Barometr cyberbezpieczeństwa. COVID‑19 przyspiesza cyfryzację firm powstał na podstawie badania przeprowadzonego na próbie 100 organizacji w Polsce o przychodach powyżej 50 mln złotych. Jest czwartą edycją badania przeprowadzonego przez KPMG w Polsce, którego celem jest poznanie dynamiki i charakterystyki cyberataków oraz przygotowania na nie przez firmy w Polsce. Badanie zostało zrealizowane metodą wywiadów telefonicznych CATI wśród osób odpowiedzialnych za bezpieczeństwo IT w firmach (członków zarządu, dyrektorów ds. bezpieczeństwa, prezesów, dyrektorów IT lub innych osób odpowiedzialnych za ten obszar) na przełomie stycznia i lutego 2021 roku przez firmę Norstat Polska.
